Vista ja TURVALISUS-III. osa TPM moodul ja mis on BitLocker Drive Encryption?

Windows Vista ja TURVALISUS-III. osa

Trusted Platform Module (TPM) moodul ja mis on BitLocker Drive Encryption?

Trusted Platform moodul:

Ette õeldes: Antud vahendit võiksid kasutada äriettevõtted ja sülearvutite omanikud, kellede arvutites on ülitähtis informatsioon...

Nii Windows XP kui ka Windows Vista sisaldavad nn Encrypting File System (EFS)-i, et tema abil krüptida (krüpteerida - "salastada") failisid ja kaustasid. EFS abil saab kaitsta oma sensitiivseid faile nii et neile võib ligi saada ainult avaliku võtme infrastruktuuri ((public key infrastructure (PKI)) sertifikaadi abil. Krüptitud (krüpteeritud) sertifikaate hoitakse Sinu kasutaja profiilis. Ja kui Sa saad juurdepääsu oma profiilile ja temas asuvale krüptimisvõtmele, siis saad Sa ligi ka oma krüptitud failidele.

Kuigi EFS pakub suurepärast võimalust Sinu andmete kaitsmiseks, ei ole ta siiski nii turvaline. Kui Sa kaotad või kui keegi varastab Sinu arvuti või kui häkker logib end Interneti kaudu sisse sinu kompuutrisse, siis saadakse ligi ka Sinu andmetele, sest autoriseerimata kasutaja võib saada juurdepääsu Sinu kompuutrisse enne kui arvuti stardib. Ta võib Sinu kompuutrisse sisse saada CD plaadil oleva teise operatsioonisüsteemi abil ja muuta Sinu arvuti konfiguratsiooni.

Trusted Platform Module (TPM):

Et kaitsta kompuutrit füüsilise rünnaku eest ja lisada temale täiendav kaitsekiht, selleks lisati Windows Vistasse nn Trusted Platform Module Services arhitektuur. Tema abil võid Sa luua laiendatud turvameetmetega platvormi, mille sees on Sinu kompuutri andmed kaitstud isegi siis kui süsteem on offline's.

Trusted Platform Module Services kaitseb kompuutrit erilise riistvara komponendi abil, mille nimeks on TPM. TPM on mikrokiip, mis on tavaliselt installitud kompuutri emaplaadile, kus ta peab riistvara siini kaudu ühendust terve süsteemiga.

TPM võib luua krüptograafilisi võtmeid ja siis need krüptida nii et ainult tema ise saab neid dekrüptida. Selleks kasutab TPM oma peavõtit, mille nimeks on Storage Root Key (SRK) ja mis asub TPM enese sees.

Uuemates kompuutrites on see TPM juba olemas ja kompuuter, mis omab seda TPM'i, võib luua võtme, mis on kinnises "kastis" ja kast on omakorda kinni pitseeritud. Selle võtme pitseerimise protsess veendub selles, et antud võti on seotud spetsiifilise platvormi parameetritega (st meie kompuutri teatud kindlate parameetritega teatud kindlal ajahetkel) ja seda võtit saab ainult siis lahti pitseerida kui selle platvormi parameetrite väärtused langevad ühte selles võtmes olevate parameetrite väärtustega siis kui see krüptitud/krüpteeritud võti loodi.

TPM võib pitseerida ja siis jälle lahti pitseerida ka endast väljaspool genereerituid andmeid. Windows Vistas saab TPM-ile ligi ja teda ksutada vahendiga, mida kutsutakse BitLocker Drive Encryption'iks. See tehnoloogia on sisse lülitatud ainult Vista Enterprise ja Vista Ultimate versioonidesse!

Kui Sa kasutad BitLocker Drive Encryption'i ja TPM'i abi Boot Manager'i ja buutimisfailide kinnipitseerimiseks, siis saab neid lahti pitseerida ainult siis kui neid ei ole muudetud sellest ajast kui nad viimati pitseeriti.
See tähendab, et Sa võid kasutada TPM'i kompuutri buutimisfailide (alglaadimise ehk käivitamisfailide) kehtivuse kindlakstegemiseks juba pre-operatsioonisüsteemi keskkonnas. Kui Sa pitseerid kinni oma kõvaketta, siis saab teda lahti pitseerida ainult siis, kui kõvaketta andmeid ei ole muudetud sellest ajast kui ta viimati kinni pitseeeriti. Ja kui neid oli muudetud, siis tuleb sisestada oma taastamisvõti või parool, et saada ligi oma kõvakettale.

Seega kaitseb BitLocker Sinu andmeid isegi siis kui ründaja võib mõõda hiilida operatsioonisüsteemi kaitsemehhanismidest ja minna otse Sinu andmeteni. Teise sõnaga, BitLocker võib kaitsta Sinu kompuutrit siis kui ründaja omab füüsilist juurdepääsu Sinu andmetele. See on eriti tähtis ärireisijatele läptopi kaotamise korral.

Kuid on ka miinused:

1) Sa ei tohi kaotada oma krüptimisvõtit, sest ilma temata ei saa Sa oma kompuutrit käivitada;

2) Komputri taastamine/parandamine on palju keerulisem kui BitLocker on sisse lülitatud, sest enne taastamist tuleb Sul oma kõvaketas lahti pitseerida, aga seda saad Sa teha ainult omaenese kompuutris. Näiteks kui Sa eelnevalt ei kasutanud BitLockerit ja Sul ei õnnestu käivitada oma kompuutrit, siis võid Sa viia oma kõvaketta teisle kompuutrile, siis andmed sealt üle kopeerida ja seejärel taastada;

3) BitLocker kaitseb Sinu kompuutrit ainult siis kui ta on offline'is. Ta ei kaitse kompuutrit Internetist tuleva ründe vastu.

Seega võiks seda BitLockerit kasutada ainult ärireisidel läpakate puhul ja äriettevõtte keskkonnas.

Ülesse

TPM juhtimine (TPM Management) - nii Vistas kui ka Win 7-s:

Et kasutada Trusted Platform Module Services (TPM) arhitektuuri, peab Windows Vista ja Windows 7 kompuuter olema varustatud temaga ühilduva TPM'i ja BIOS'ga (sealjuures peab TPM olema BIOS-is ka sisse lülitatud - tuleb üle kontrollida).
Windows Vista toetab TPM versiooni 1.2 ja nõuab Trusted Computing Group (TCG)–ühilduvat BIOS'i. Selline BIOS toetab Static Root of Trust Measurement spetsifikatsiooni, sellest võid lugeda siit: http://www.trustedcomputinggroup.org.

TPM'i saab juhtida Trusted Platform Module Management konsooli abil ((TPM Management on Microsoft Management Console (MMC) snap-in)), et teda avada, tee selleks:

Start - All Programs - Accessories ja siis klõpsa Run (Sa pead olema administraatori õigustega).
Tipi tpm.msc ja vajuta Enter

Märkus: Sa võid ta (tpm.msc) tippida ka Start menüü Search otsikasti ja vajutada ENTER.

Juhul kui ilmub järgnev teade, siis kas Sinu kompuutri emaplaat ei sisalda seda TPM mikrokiipi või ta ei ole BIOS'is sisse lülitatud (kontrolli see üle):

Kui aga kõik on korras ja selleks et seada TPM konfiguratsiooni, kasuta käskusid, mis asuvad akna parempoolsemas paanis Actions all - pilt.

Enne kui Sa võid TPM-i kasutada, pead Sa ta initsialiseerima esmaseks kasutamiseks ja lülitama ta sisse.

TPM-i initsialiseerimine esmakordseks kasutamiseks:

TPM initsialiseerimise tähendus:

Trusted Platform Module (TPM) võib Sul olla järgmistes seisukordades (staadiumites):

- Mitte omistatud (st teda ei ole veel "käiku lastud") ja välja lülitatud

- Mitte omistatud ja sisse lülitatud

- Omistatud, aga välja lülitatud

- Omistatud ja sisse lülitatud

Et TPM-i saaks kasutada, peab ta olema eelnevalt sisse lülitatud ja omistatud - neid mõlemaid protsesse nimetatakse initsialiseerimiseks. Initsialiseerimise käigus luuakse uued juurvõtmed, mida hakatakse TPM poolt kasutama.
Et saaks kasutada sellist tarkvara nagu BitLocker Drive Encryption, peab Sul olema TPM initsialiseeritud.

Teosta järgmised sammud:

Logi ennast administraatorina sisse.
Käivita Trusted Platform Module Management konsool (eelpool oli sellest juttu).
Actions all klõpsa Initialize TPM, ilmub TPM Initialization Wizard, kliki lehel Welcome nupule Next.
Järgmine samm sõltub TPM seisukorrast:
- Kui tuvastatakse, et BIOS ei vasta nõuetele, siis jääb asi katki...
- Kui TPM on välja lülitatud (mõnedes uuemates kompuutrites on ta juba sisse lülitatud!), siis ilmub Turn On The TPM Security Hardware leht. Järgi juhiseid, et TPM sisse lülitada. Klõpsa Shutdown (või Restart) ja siis järgi BIOS ekraani hoiatust. Pärast seda kui kompuuter on teinud restardi, kinnnita, et Sa soovid TPM-i sisse lülitada.
- Kui TPM on juba sisse lülitatud, siis ilmub Create The TPM Owner Password leht.

Nüüd tuleb üles seada TPM omanik, kellele määratakse parool, et olla kindel, et ainult autoriseeritud TPM omanik võib saada ligi ja juhtida TPM-i.

Et seada ülesse TPM omanikku, selleks tee:

Logi ennast administraatorina sisse.
Käivita Trusted Platform Module Management konsool.
Actions all klõpsa Initialize TPM, ilmub TPM Initialization Wizard. Welcome lehel klõpsa Next.
Create The TPM Owner Password lehel vali Automatically Create The Password (Recommended) ja klõpsa Next.
Lehel Save Your TPM Owner Password klõpsa Save ja siis vali koht kuhu parool salvestada, parim lahendus oleks ta salvestada eemaldatavale meediale (nt USB mälupulka).
Klõpsa jälle Save. Parool salvestatakse nimega computer_name. tpm.
Klõpsa Print kui soovid parooli ka paberile trükkida.
Klõpsa Initialize.
Kui valmis, siis klõpsa Close.

TPM-i väljalülitamine ja puhastamine:

Uutel kompuutritel võib see TPM olla juba sisse lülitatud. Kui Sa ei soovi teda kasutada, siis pead sa TPM-i välja lülitama ja siis tühjaks tegema.

Et TPM-i välja lülitada, tee nii:

Logi ennast administraatorina sisse.
Käivita Trusted Platform Module Management konsool.
Actions all klõpsa Turn TPM Off.
Ilmub Turn Off The TPM Security Hardware dialoogiaken, kus vali üks järgmistest parameetritest, et sisestada oma parooli ja lülitada TPM välja:
- Kui Sul on eemaldatav meedia (nt USB mälupulk), kus hoiad oma parooli, siis pane ta pessa ja siis klõpsa I Have A Backup File With The TPM Owner Password. Otsi ülesse ja ava see .tpm fail ning siis klõpsa Turn TPM Off.
- Kui Sul ei ole eemaldatavat meediat koos parooliga, siis klõpsa I Want To Type The TPM Owner Password. Tipi parool (koos kriipsudega) ja klõpsa Turn TPM Off.
- Kui Sul ei ole TPM omaniku parooli, siis klõpsa I Don’t Have The TPM Owner Password ja järgi seejärel juhiseid, et lülitada TPM välja ilma paroolita. Kuna Sa oled ennast sisse loginud lokaalselt, siis Sa saad ta välja lülitada ka ilma paroolita.

TPM puhastamine (seda pead Sa ainult siis tegema kui oled parooli kaotanud):

Logi ennast administraatorina sisse.
Käivita Trusted Platform Module Management konsool.
Actions alla klõpsa Clear TPM.
Clear The TPM Security Hardware dialoogiaknas vali üks järgmistest parameetritest:
- Kui Sul on eemaldatav meedia (nt USB mälupulk), kus hoiad oma parooli, siis pane ta pessa ja siis klõpsa I Have A Backup File With The TPM Owner Password. Otsi ülesse ja ava see .tpm fail ning siis klõpsa Clear TPM.
- Kui Sul ei ole eemaldatavat meediat koos parooliga, siis klõpsa I Want To Type The TPM Owner Password. Tipi parool (koos kriipsudega) ja klõpsa Clear TPM.
- Kui Sa ei tea oma TPM omaniku parooli, siis klõpsa I Don’t Have The TPM Owner Password ja järgi seejärel juhiseid, et puhastada TPM ilma paroolita. Kuna Sa oled ennast sisse loginud lokaalselt, siis Sa saad ta puhastada ka ilma paroolita

NB! Sa võid ka oma parooli muuta kui vaja: konsoolis vali Actions alt käsk Change Owner Password.

Ülesse

Mida tähendab BitLocker Drive Encryption?

BitLocker Drive Encryption'i saab kasutada "pahade" vastu, kellel on füüsiline ligipääs Sinu kompuutrile ja kes soovivad sealt andmeid varastada. Sest ründaja võib kompuutri käivitada stardidisketilt ja siis tühistada adminparooli ning saada kompuutri "varad" endale... Või ta võib ligi saada ka otse kõvakettale kasutades selleks CD plaadil olevat erinevat operatsioonisüsteemi.

Iga kord kui käivitatakse kompuuter, kontrollib Windows Vista (Win 7) buutimisfaile, operatsioonisüsteemi faile ja kõiki krüpteeritud kettaid, et tuvastada kas neid ei ole modifitseeritud siis kui kompuuter oli offlainis. Kui faile oli modifitseeritud, siis hoiatab Windows Vista kasutajat ja ei luba teda Windowsisse. Seejärel läheb kompuuter üle taastamisreźiimi ja palub sisestada kasutajal taastamisvõtme enne kui tal lubatakse juurdepääs laadimiskettale.

BitLocker Drive Encryption'i võib kasutada nii TPM kui ka mitte-TPM (non-TPM) kompuutritega.

1) TPM ühilduvatel kompuutritel võib BitLocker Drive Encryption kasutada kahte TPM reźiimi:

TPM-only Selles reźiimis kasutatakse TPM-i ainult buutimisfailide, operatsioonisüsteemi failide ja kõikide krüpteeritud kõvaketaste kontrollimiseks. Kuna siin ei pea kasutaja sisestama täiendavat stardivõtit, siis selline reźiim on kasutaja jaoks läbipaistev ja tema sisselogimise viis ei muutu, st mingit käivitusvõtit vaja ei lähe.
Kui aga TPM puudub või failide või ketaste terviklikus on muutunud, siis BitLocker siseneb kohe taastamisreźiimi (recovery mode) ja nõuab taastamisparooli ja/või stardivõtit, et lubada edasi minna laadimiskettale.
Startup key Selles reźiimis kasutatakse kontrollimiseks mõlemat nii TPM'i kui ka stardivõtit (startup key).

2) Kompuutritel, mis ei oma TPM-i või kui ta ei ühildu TPM-iga, kasutatakse USB Flash Drive Key reźiimi. Kasutaja sisestab USB flash draivi (USB mälupulga) kompuutrisse, enne kui ta lülitab kompuutri sisse. Võti, mis asub sellel flash draivil, lukustab kompuutri lahti. Sell

Et BitLocker'it, mis kuulub ainult Windows Vista Enterprise ja Windows Vista Ultimate versioonide koosseisu, sisse lülitada, ava Control Panel ja vali Security ning siis vali BitLocker Drive Encryption (või kui Sul on Control Panel klassikalises vaates, siis tee 2x klõps BitLocker Drive Encryption ikoonil).

Avatakse BitLocker Drive Encryption aken, kus klõpsa Turn On BitLocker:

BitLocker sisse

Märkus: Ka Windows 7-s saab BitLocker'it kasutada ainult Win 7 Enterprise ja Win 7 Ultimate versioonides. Et teda seal käivitada kliki Start menüü Search otsikasti sõna BitLocker ja seejärel klõpsa üleval otsingutulemustes BitLocker Drive Encryption lingile. Avatakse BitLocker Drive Encryption aken, kus vali välja vajalik draiv (partitsioon) ja kliki tema järel asuvale Turn On BitLocker lingile.

Nüüd laetakse Turn On BitLocker Drive Encryption Wizard, kus tuleb täita järgmised ülessanded:

Tuleb salvestada stardivõti (startup key) oma USB seadmele (näiteks USB mälupulgale). Ja Sa pead siis sisestama selle USB seadme iga kord kui käivitad enda kompuutri, et dekrüptida (dekrüpteerida) süsteemiketast:

Startup key

Tuleb luua taastamisparool (lahtilukustamise parool) ja siis see printida välja või salvestada selleks, et kasutada teda juhul kui BitLocker blokeerib kompuutrile ligipääsu (ligipääs blokeeritakse siis kui BitLocker avastab, et on püütud muuta mingeid süsteemifaile). Sa võid sisestada 48. sümbolist (!) koosneva parooli kas käsitsi või siis salvestada ta oma USB seadmele.

Märkus: Windows 7-s lood algul parooli ja seejärel salvestad ta USB mälupulka või siis prindid ta välja...
Süsteemiketta krüptimine (krüpteerimine). Kui see on valmis, siis pead Sa iga kord kui käivitad oma kompuutri, sisestama selle USB seadme koos stardivõtmega, et laadida Windows Vista't.

Märkus: Juhul kui Sa olid oma kõvaketta mingi vastava tarkvara või siis Vista/windows 7 enda 'BitLocker Drive Encryption' vahendi abil krüpteerinud (krüptinud) ja kui Sa unustasid oma parooli, siis tekivad kohe suured probleemid. Sa ei saa enam seda kõvaketast kasutada ja Sa ei saa teda isegi formaatida. Sa võid ta küll saata tagasi tootjatehasesse, kus siis tehakse antud kõvaketta madalama tasemega vormindamine/formaatimine (low-level format) - jama...
Kuid õnneks on olemas ka vastavad tarkvarad, mille abil saab sellisele kõvakettale teha ka madalama tasemega formaatimist ja seda isegi siis kui krüptimise tarkvara oli eelnevalt muutnud Master Boot Record (MBR)-i sisu, et võõrad ei pääseks kõvakettale üle-üldse ligi...
Üheks selliseks väga heaks ja kasulikuks tarkvaraks on avatud lähtekoodiga Darik's Boot and Nuke ("DBAN") programm, mille abil saadki oma krüpteeritud kõvaketta täiesti puhtaks pühkida. Sa võid teda kasutada ka kõikide tavaliste kõvaketaste (st krüpteerimata ketaste) puhul ja ta töötab kompuutri buutimise ajal ning teda on väga lihtne kasutada - ta töötab nii Intel kui ka Mac süsteemidega. Loe sellest siit.

Ülesse

Mine lehele Võrgutöö ja Internet I. osa >

< Tagasi

< Tagasi Windows Vista esilehele ja sisukorda