Що таке шифрування BitLocker і як воно працює?

Зберігання конфіденційних файлів у цифровому сховищі даних завжди супроводжується ризиком того, що у якийсь момент вони можуть потрапити не в ті руки. Зважаючи на постійні загрози, пов'язані з гаджетами, особливо з портативними, такими як ноутбуки чи USB-накопичувачі, розробники прагнуть забезпечити своїм користувачам душевний спокій шляхом впровадження різноманітних заходів безпеки. ОС Windows, у свою чергу, пропонує BitLocker, інструмент, що став популярним серед осіб і компаній, які шукають спосіб забезпечити надійний захист своїх даних "у стані спокою". Тут ви можете знайти загальний огляд цієї функції операційної системи Windows.

Останнє оновлення:
02 червня 2023

Час прочитання: 6 хв.

Що таке BitLocker?

BitLocker — це вбудована в операційну систему Windows технологія шифрування від Microsoft, що надається користувачеві автоматично як частина інсталяції ОС. Вона дозволяє захистити вміст цілих логічних томів, шифруючи його за допомогою просунутих криптографічних алгоритмів. Зашифровану інформацію не можна розшифрувати, а, отже, отримати до неї доступ, якщо користувач не надасть належні облікові дані, що розблоковують сховище. Таким чином, вона надійно захищена від крадіжки або доступу неавторизованих третіх осіб. Після введення відповідних облікових даних, інформацію можна буде переглядати як зазвичай.

BitLocker дозволяє захистити як внутрішні жорсткі диски або SSD ПК, так і різні зовнішні пристрої зберігання даних: USB-накопичувачі, карти пам'яті та інші носії, відформатовані у файлових системах NTFS, FAT32 або exFAT від Microsoft. Версія, призначена для знімних носіїв даних, також відома як BitLocker To Go.

Сама технологія базується на специфікації Advanced Encryption Standard (з англ. Покращений стандарт шифрування) із налаштовуваним розміром ключа у 128 або 256 біт. Починаючи з Windows 10 і новіших версій, підтримуються режими ланцюгування шифроблоків (з англ. cipher block chaining чи CBC) і запозичення цифротексту (з англ. ciphertext stealing чи XTS).

У разі BitLocker це може бути як апаратно-кероване, так і суто програмне рішення. У першому випадку функція шифрування реалізована за допомогою TPM (Trusted Platform Module) – спеціального мікрочіпа, вбудованого або доданого до материнської плати ПК і призначеного для виконання операцій шифрування. TPM відповідає за створення, зберігання та керування ключами шифрування BitLocker. Цей інструмент можна налаштувати так, щоб він самостійно розблоковував диск під час завантаження системи або працював в парі з іншими інструментами захисту, такими як персональний ідентифікаційний номер (PIN) або знімний пристрій, який містить ключ запуску.

Програмна реалізація призначена для комп'ютерів без TPM. У цьому випадку користувачеві пропонується налаштувати механізм захисту після активації BitLocker для даного диска:

  • Пароль користувача – вказаний користувачем рядок символів, який запитуватиметься під час кожного завантаження Windows або доступу до знімного пристрою, зашифрованого BitLocker.
  • Ключ відновлення BitLocker – унікальна 48-значна цифрова послідовність, яка створюється системою автоматично після активації BitLocker. Цей ключ потрібен, щоб розблокувати сховище у разі деяких специфічних оновлень, проблем із безпекою або коли пароль користувача втрачено чи він недоступний. Залежно від версії, ОС Windows може пропонувати різні способи збереження цього ключа для майбутнього використання.
  • Файл ключа запуску – прихований файл *.bek, що зберігається на зовнішньому USB-накопичувачі, аналог ключа відновлення BitLocker. Цей накопичувач має бути підключеним під час запуску ОС для автоматичного розшифрування диска без введення пароля користувача.

Після активації BitLocker дані у захищеному томі перетворюються на незрозумілу "тарабарщину". Для цього застосовується спеціальний ключ, який фактично ніколи не відкривається користувачеві (його називають Ключем шифрування повного тому, з англ. Full Volume Encryption Key або FVEK). Цей ключ зашифровано за допомогою іншого секретного ключа, який також зберігається в зашифрованому вигляді в метаданих тому або навіть у вигляді кількох зашифрованих копій (Головний ключ тому, з англ. Volume Master Key або VMK). Коли користувач вводить правильний пароль, ключ відновлення BitLocker або ключ запуску, він застосовується для розшифровки відповідної копії вторинного ключа. У свою чергу, вторинний розшифровує первинний ключ, що дозволяє повернути вміст тому до початкового вигляду. Однак така складна процедура перетворення може бути успішно завершена лише за умови, що відповідні критичні метадані BitLocker залишаються недоторканими. Якщо вони будуть серйозно пошкоджені внаслідок збою чи несправності пристрою, прочитати зашифровану інформацію буде неможливо навіть із дійсними обліковими даними.

Як зашифрувати пристрій?

BitLocker є рідною функцією Windows, що робить її активацію легкою, з мінімальним втручання користувача або навіть взагалі без нього. Є кілька способів запустити процес шифрування:

  • Сучасні пристрої під керуванням Windows, які відповідають певним умовам (підтримка Modern Standby, сумісність з HSTI тощо), часто зашифровані одразу "з коробки". Захист починає діяти після того, як користувач увійде у свій обліковий запис Microsoft або Azure Active Directory. У цьому випадку немає необхідності встановлювати пароль користувача, а ключ відновлення BitLocker автоматично зберігається у відповідному обліковому записі онлайн.
  • Користувач може добровільно ввімкнути BitLocker через Панель керування або програму Налаштування. У цьому випадку він зазвичай має вибір, у якій формі зберегти ключ відновлення BitLocker.

Пошук ключа відновлення BitLocker

Як вже було зазначено вище, ключ відновлення BitLocker генерується автоматично в момент активації шифрування. Створення резервної копії цього 48-значного ключа є абсолютно необхідним для того, щоб у майбутньому мати змогу відновити доступ до зашифрованого сховища. Цю копію можна зберегти у декілька способів відповідно до уподобань користувача та версії встановленої Windows. Якщо у вас раптом виникнуть проблеми із встановленням місцезнаходження копії ключа, варто буде перевірити наступні варіанти:

  • Обліковий запис Microsoft

Найвірогідніше місце для пошуку ключа відновлення BitLocker – це обліковий запис користувача Microsoft, який увімкнув функцію шифрування. Потрібно увійти в цей обліковий запис онлайн, перейти до розділу "Пристрої" (Devices) та натиснути "Переглянути деталі" (View details) під відповідним комп'ютером. Потім у розділі "Захист даних BitLocker" (BitLocker data protection) слід знайти налаштування "Керування ключами відновлення" (Manage recovery keys). Після успішної перевірки особи ви побачите список ключів відновлення, доступних для цього конкретного ПК, а також їхні ідентифікатори, дати та назви пристроїв.

  • Текстовий файл

Ключ відновлення BitLocker можна зберегти у файлі *.txt на іншому незашифрованому диску або в мережевій папці. Зазвичай він зберігається під іменем, що починається як "BitLocker Recovery key" і продовжується послідовністю буквено-цифрових символів. Це ім'я можна ввести в рядок пошуку, щоб швидко знайти потрібний файл. На додаток він також містить ідентифікатор, потрібний для ідентифікації цього ключа.

  • USB-накопичувач

Ключ запуску аналогічний ключу відновлення, але він зберігається на USB-накопичувачі як файл із розширенням *.bek. Його назва зазвичай виглядає як випадкова послідовність літер і цифр. Однак цей файл прихований, тож щоб побачити його, у Провіднику файлів потрібно увімкнути параметр "Показувати приховані файли, папки та диски".

  • Роздрукований варіант

Ключ відновлення BitLocker можна роздрукувати та зберегти у паперовому вигляді. За відсутності принтера він буде збережений як файл *.pdf, який можна завантажити до облікового запису OneDrive або Google Drive.

  • Обліковий запис Azure Active Directory

Якщо йдеться про корпоративний комп'ютер, ключ відновлення BitLocker може зберігатися в обліковому записі Active Directory. Потрібно увійти до порталу Microsoft Azure, перейти до "Azure Active Directory", а потім до "Пристрої" (Devices) -> "Усі пристрої" (All devices). Після цього можна скористатись полем пошуку, щоб знайти потрібний пристрій за його назвою/серійним номером. Вибравши знайдений пристрій, слід скористатись параметрами "Ключі BitLocker (попередній перегляд)" (BitLocker keys (Preview)) і "Показати ключ відновлення" (Show Recovery Key) для отримання ключа.

Відповідність конкретного ключа відновлення BitLocker можна перевірити, порівнявши початок ідентифікатора ключа відновлення BitLocker зі значенням "Ідентифікатор ключа" (Key ID), яке відображається для диска.

Ця технологія підтримується наступними програмними продуктами:

* Апаратно-кероване шифрування BitLocker передбачає використання механізмів фізичного захисту, які не можуть бути оброблені програмно, і тому не підтримуються програмним забезпеченням.