2011年11月25日 星期五

Bitlocker 磁碟加密 (BitLocker drive encryption)技術


Bitlocker為微軟的磁碟加密技術,這項功能內建於Windows Vista、Windows 7的旗艦版與企業版之內,也為Windows server 2008和Windows Server 2008 R2所支援。Bitlocker 這項功能可將您需要保護的 Windows 和資料所在的整個磁碟機予以加密 ,而且一旦開啟 BitLocker 磁碟加密功能,日後所有儲存在磁碟機上的所有檔案都會自動加密。
BitLocker To Go 是 Windows 7 Bitlocker新增的功能,可對 USB 快閃磁碟機及外接式硬碟等容易遺失的可攜式儲存裝置採取鎖定措施。

Bitlocker vs. EFS

  加密方法 對象 保護限制
Bitlocker 對稱性加密 整個磁碟,包括系統檔 只能離線保護電腦
EFS 非對稱性加密
(憑證)
目錄或檔案,不包括系統檔 可以線上保護

Bitlocker 的缺點與限制

  1. 只能保護已離線的電腦,如果電腦是開機狀況時的資料並無法保護,自然也無法避免來自網路的攻擊。
  2. 如果遺失修復金鑰,則電腦出現問題時將遺失資料

使用 Bitlocker系統需求

  1. 您的作業系統必需是 Windows Vista、Windows 7、Windows Server 2008或Windows Server 2008 R2 。
  2. Bitlocker需要將加密與解密金鑰儲存在加密磁碟以外的硬體裝置,所以您需要有下列裝置來儲存金鑰:
    (1) 電腦支援信賴平台模組(Trusted Platform Module)
         將金鑰存放在TPM晶片上是預設且較安全的做法,但並非所有的電腦均支援TPM,TPM通常需要先於BIOS啟動並安裝適當的驅動程式。
    (2) USB行動碟
         如果電腦不支援TPM,則將金鑰儲存在USB行動碟將是預設方式,不過您的行動碟將需要一直插在機器上。
    (3) 軟碟或其它磁碟
         如果您不想要行動碟一直安插在電腦上,或在不支援USB的微軟Hyper-V虛擬機器下,您可以將金鑰儲存在軟體或其它磁碟上,不過您需要先透過群組原則變更設定後,再透過命令列指令manage-bde.exe 來啟動Bitlocker,因為圖形介面並不支援此種做法。

 

Bitlocker的版本功能

作業系統版本

Bitlocker功能

Windows Vista

僅能針對本機系統磁碟(大多為C磁碟)加密

Windows Vista SP1

可對本機所有磁碟加密

Windows 7企業/旗鑑版

Windows Server 2008 R2

可對本機所有磁碟、USB 磁碟及外接式硬碟加密

 

Bitlocker 加密過程


Bitlocker採用AES對稱性加密演算法對磁碟加密,而這把對稱性金鑰稱為FVEK,而為了保護FVEK,微軟採用了第二把金鑰VMK來對FVEK加密,最後您必需選擇適當的金鑰保護裝置(Protector)來對VMK加密,整個過程如下: 

Bitlocker 金鑰種類

使用Bitlocker磁碟加密時,需要對資料或金鑰予以加密,再加以需要保護加密金鑰以及一旦停用Bitlocker時對既有的加密區塊需予以解密,所以存在許多種不同用途不同目的的金鑰,資整理如下:
Full-Volume Encryption Key (FVEK) 用來對磁碟區塊加密的AES金鑰,長度可為128位元或256位元。
Volume Master Key (VMK)
一把256位元長度的AES金鑰,用來對FVEK加密,每個磁只有一個VMK金鑰
Startup Key 一把被存放在USB行動碟的金鑰,而此行動碟必需在每次開機前均先行插入,在無TPM的電腦上使用Bitlocker時就需要使用Startup Key。通常為 .bek檔。
Recovery Password Key (file) 一把用來恢復或還原Bitlocker加密磁碟內的金鑰,通常被儲存在USB行動碟,在密碼學上等同Startup Key,可用來對VMK解密。
External Key 一把可用來存取加密磁碟資料的金鑰,通常儲存在系統以外的媒體,如USB行動碟,Startup Key或Recovery Key均屬於External Key。
Clear Key
當BitLocker 被取消後,磁碟仍在加密狀況,所以利用這把以明文方式儲存在磁碟的金鑰來自由的存取VMK。

Bitlocker 金鑰驗證方式

Bitlocker支援多種金鑰驗證方式如下,使用者可依據硬體支援、安全性與方便性來決定採用的驗證方式,而每一種方式也都提供了可選擇性的修復金鑰:


  • TPM
  • TPM + PIN
  • TPM + PIN + USB Key
  • TPM + USB Key
  • USB Key

 

規劃與準備 Bitlocker

當您決定使用Bitlocker時,需事先仔細考量下列二項實作方式:

  1. 選擇金鑰保護裝置 (Protector)
    決定採用TPM、TPM+PIN、USB start Key或其他方式來保護VMK金鑰
  1. 提供恢復機制
    決定要將恢復金鑰存在文字檔、列印出來或Active Directory中

啟動 Bitlocker

由於Bitlocker預設上只支援TPM晶片啟動Bitlocker的方法,所以您需要先在BIOS啟動TPM並安裝適當的驅動程式後才能成功的啟動Bitlocker,您可以檢視裝置管理員來查看電腦是否已經啟動了TPM。

假若您的電腦並不支援TPM,則您需要先透過本機群組原則啟動額外的驗證方法後才能夠啟動磁碟加密功能,執行步驟是:

  1. 啟動本機群組原則編輯器(gpedit.msc)。
  2. 從左側樹狀結構中選擇下列途徑【電腦設定—>系統管理範本—>Windows元件—>Bitlocker磁碟機加密—>作業系統磁碟機】,並按一下右側的【啟動時需要其它驗證】。
  3. 接下來在出現的對話方塊中,核選【已啟用】和【在不含相容TPM的情形下允許使用Bitlocker】以便可以支援USB或其它磁碟的驗證方法。
    bitlocker_gp 
  4. 設定完成後請結束本機群組原則編輯器,然後執行 gpupdate命令以便更新群組原則。

如果您是要在Windows 7電腦上啟動Bitlocker磁碟機加密功能,則可以直接執行下列的啟動步驟,但若您需要在Windows Server 2008 (R2)電腦上啟動Bitlocker磁碟機加密功能,則您需要先利用【伺服器管理員】新增【Bitlocker磁碟機加密】功能。

一旦如上述步驟經由本機群組原則啟用了其它非TPM驗證方法後,接下來您就可以開始針對目標磁碟機啟動Bitlocker加密功能了,步驟如下:
  1. 請在電腦的磁碟圖示上按右鍵點選開啟 BitLocker 選項或是從控制台內選按【Bitlocker磁碟機加密】項目。
  2. 接下來畫面會出現檢查您電腦上的設定,查看是否符合啟動Bitlocker的條件要求,一旦檢查通過,就可以開始執行啟動Bitlocker的準備工作,準備工作將包括準備用於Bitlocker的磁碟機(如果您的電腦沒有100MB的隱藏系統磁碟區)和執行加密工作,請按下一步繼續。
  3. 由於本電腦並沒有預設安裝所建立的隱藏性100MB的系統磁碟,所以圖中的準備工作會先壓縮磁碟然後建立系統磁碟後,再要求重開機後,才會開始加密磁碟,假若您的電腦原本就已經存在隱藏的系統分割區,則準備工作將只是直接加密磁碟。
  4. 重新開機後,系統會自動繼續原先的工作,您只需要按下一步繼續,然後在接下來的【設定Bitlocker喜好設定】頁面上,由於本電腦上並不支援TPM,所以無法使用第一項利用TPM晶片保護加密金鑰VMK,也無法使用第二項TPM加上PIN的方式來保護加密金鑰,所以只能選擇第三項在每次開機時都使用USB行動碟來啟動金鑰 (不過您的電腦上需要有USB行動碟,否則連第三項均無法使用),在此選取第三項【每次啟動時都要求提供啟動金鑰】,按下一步繼續。
     
  5. 接下來,請選選您的USB行動碟,然後按儲存按鈕,這將會在您的USB行動碟建立一個檔名為 <GUID>.BEK 的隱藏檔。
  6. 選擇修復金鑰儲存方式,您可儲存到USB行動碟或儲存到檔案或列印出來三種方式,這通常會建立一個名稱為 "BitLocker 修復金鑰 <GUID>.TXT" ,按下一步繼續
     
    而這個修復金鑰案的內容大抵如下:

    BitLocker 磁碟機加密修復金鑰  

     修復金鑰是用來修復 BitLocker 所保護之磁碟機上的資料。

    若要確認這是正確的修復金鑰,請比較識別與修復畫面上的識別。

    修復金鑰識別: 07FDF1B7-53BF-41

    完整修復金鑰識別: 07FDF1B7-53BF-410E-A822-51C5D5C6CF8A

    BitLocker 修復金鑰:

    086709-335455-283623-118251-678808-153627-382870-304823

  7. 接下來就開始要加密磁碟機,請按【繼續】,此時畫面會提示重新開機,按立即重新啟動。
     
  8. 待電腦重新開機後,將會開始加密磁碟機, 如下圖所示,您需要耐心等待其完成。
  9. 一旦完成整個磁碟加密後,當您開啟檔案總管後,您將可以看到加密磁碟機圖示上多了一個鎖。

         

檢查磁碟加密狀況

您可以利用manage-bde –status 來檢查加密磁碟機狀況,包括轉換狀態、Bitlocker 版本所採用的保護金鑰裝置,加密演算法…等。

使用修復金鑰

Bitlocker 加密磁碟機的啟動金鑰(startup key)或PIN如果在開機時無法被找到(如USB行動碟遺失或毀損或忘了帶)、或磁碟機已被移到其它機器使用,這時您將需要在開機時輸入48個數字長度的修復金鑰才能夠成功的啟動此磁碟機,如下圖所示。

關閉Bitlocker(解密還原)

啟動Bitlocker磁碟機加密後,若日後基於任何原因而希望關閉Bitlocker功能,解密磁碟而不再加密是允許的,您只需要經由【控制台—>系統及安全性—>Bitlocker磁碟機加密】途徑啟動如下圖磁碟加密管理介面,然後在加密磁碟的右側按【關閉Bitlocker】之後,耐心等待解密即可。

一旦解密完成後,再輸入manage-bde –status命令即可看到已完全解密的狀況。

 

※ 相關文章:

  1. 『可信賴平台模組 (Trusted Platform Module)』