نویسندگی در بایت گیت

بیت لاکر (BitLocker) چیست؟

بیت لاکر (BitLocker) قابلیتی است که به کاربر این اجازه را می‌دهد تا داده‌های موجود در درایوهایش را با کلیدهای 128 یا 256 بیتی رمزگذاری کند.

BitLocker چیست؟

بیت لاکر (BitLocker - BitLocker Drive Encryption) قابلیت امنیتی است که از نسخه‌های نهایی (Ultimate) و تجاری (Enterprise) ویندوز ویستا به بعد، به ویندوز اضافه شده و وظیفه رمزگذاری بر روی داده‌ها را برعهده دارد. بیت لاکر قابلیت رمزگذاری و قفل تمام Volumeهای پارتیشن‌ها را با استفاده از کلیدهای 128 یا 256 بیتی و با الگوریتم رمزگذاری AES در حالت CBC دارد.

در رابط جدید BitLocker علاوه بر رمزگذاری ولوم‌های هارد دیسک، امکان رمزگذاری بر روی سایر دستگاه‌های ذخیره سازی قابل حمل از جمله حافظه‌های USB نیز اضافه شده است.

 

 حالت‌های رمزنگاری در BitLocker و نحوه کار آن‌ها

بیت لاکر دارای سه حالت رمزنگاری است که امکان دسترسی داده‌ها را به کاربر و برنامه‌ها می‌دهد. این سه مورد می‌توانند در کنار یکدیگر یا به صورت انفرادی برای رمزنگاری مورد استفاده قرار گیرند. بدیهی است که با استفاده همزمان از چندین حالت می‌توان دسترسی غیرمجاز را محدودتر کرد. این سه مورد طبق گفته مایکروسافت در صفحه آموزشی بیت لاکر، عبارت اند از:

  • عملیات نامرئی:

TPM Chip

یک ماژول TMP
منبع عکس: presseagentur.com

بیت لاکر دارای قابلیتی است که می‌تواند از TPM (مخفف Trusted Platform Module) نسخه 1.2 برای نگه داری اطلاعات رمزنگاری خود استفاده کند؛ بنابراین دسترسی به داده‌ها تا زمانی که TPM آن‌ها را معتبر نشناسد غیرممکن خواهد بود. TPM یک چیپ بر روی برخی از مادربوردهاست که وظیفه حفظ اطلاعات رمزنگاری را برعهده دارد. البته این گزینه می‌تواند غیرفعال شود. پروسه رمزنگاریدر حالت عملیات نامرئی به ترتیب زیر است:

1- در هنگام روشن کردن کامپیوتر، بایوس اطلاعات داخل ماژول TMP را مورد بررسی قرار می‌دهد. این اطلاعات با PCRs (مخفف Platform Configuration Registers به معنای ثبات‌های پیکربندی پلتفرم) در ارتباط بوده و از آنجا بررسی می‌شوند.

2- درصورتی که اطلاعات با ثبات‌ها هماهنگ باشند، TMP از کلید ریشه حافظه (SRK - مخفف Storage Root Key) برای رمزنگاری کلید اصلی ولوم (VMK - مخفف Volume Master Key) استفاده خواهد کرد.

3- کلید اصلی رمزنگاری ولوم (FVEK - مخفف Full Volume Encryption Key) از داده‌های رمزگذاری شده آن ولوم استخراج شده و توسط VMK رمزنگاری می‌شود. به این ترتیب کلید FVEK رمزنگاری شده، برای رمزنگاری کل داده‌ها استفاده خواهد شد و داده‌های خالص مورد پردازش قرار خواهند گرفت.

به صورت خلاصه، پس از بررسی ماژول توسط بایوس، کلید SRK برای رمزنگاری VMK و کلید VMK برای رمزنگاری کلید اصلی FVEK و در نهایت کلید FVEK برای رمزنگاری داده‌ها استفاده می‌شوند.

 

  • تایید اعتبار دستی:

BitLocker Password

صفحه درخواست رمز از کاربر

در این حالت، سیستم از کاربر کدی را می‌خواهد تا به وسیله آن داده‌ها را رمزنگاری کند. این کد، PIN نیز خوانده می‌شود و قبل از بوت شدن سیستم عامل، از کاربر درخواست می‌شود.

1- قبل از بوت شدن سیستم عامل (پس از بالا آمدن از طریق درایو رمزگذاری نشده سیستم)، از کاربر کد رمز اصلی (PIN) درخواست می‌شود.

2- کلید VMK توسط PIN وارد شده رمزنگاری می‌شود.

3- کلید اصلی رمزنگاری ولوم FVEK از داده‌های رمزگذاری شده آن ولوم استخراج شده و توسط VMK رمزنگاری می‌شود. به این ترتیب کلید FVEK رمزنگاری شده، برای رمزنگاری کل داده‌ها استفاده خواهد شد و داده‌های خالص مورد پردازش قرار خواهند گرفت.

 

  • دستگاه USB:

BitLocker USB Key

درخواست اتصال USB در بیت لاکر ویندوز 8.1

بیت لاکر به کاربر این امکان را فراهم می‌کند تا با استفاده از یک دستگاه USB (مثل حافظه‌های USB) که شامل کدهای اجرایی هستند، سیستم عامل را بوت کند. البته باید امکان این را داشته باشد تا قبل از بالا آمدن سیستم عامل، بتواند از محتوای حافظه USB استفاده کند.

1- هنگام بوت شدن سیستم عامل، از کاربر درخواست دیوایس USB می‌شود.

2- پس از بررسی‌های لازم، کلید VMK توسط کد موجود در حافظه USB رمزنگاری می‌شود.

3- کلید اصلی رمزنگاری ولوم FVEK از داده‌های رمزگذاری شده آن ولوم استخراج شده و توسط VMK رمزنگاری می‌شود. به این ترتیب کلید FVEK رمزنگاری شده، برای رمزنگاری کل داده‌ها استفاده خواهد شد و داده‌های خالص مورد پردازش قرار خواهند گرفت.

 

طبق گفته ویکی‌پدیا، بیت لاکر این اجازه را به کاربر می‌دهد تا از هر یک از روش‌های بالا به صورت تکی یا به صورت ترکیبی با سایر روش‌ها، برای رمزنگاری داده‌ها استفاده کند. یعنی روش‌های زیر قابل استفاده هستند:

  • حالت نامرئی
  • حالت نامرئی + تایید کاربر
  • حالت نامرئی + کلید USB
  • حالت نامرئی + تایید کاربر + کلید USB
  • تایید کاربر (البته این روش از طریق تغییر در Group Policy قابل استفاده است)
  • کلید USB

 

رمزگذای در بیت لاکر

BitLocker از الگوریتم رمزگذاری AES که مخفف عبارت Advanced Encryption Standard به معنای "استاندارد رمزگذاری پیشرفته" است، استفاده می‌کند (البته با استفاده از حالت CBC). الگوریتم AES دارای سه استاندارد 128، 192 و 256 بیتی است که دو استاندارد 128 بیت و 256 در بیت لاکر استفاده می‌شود. (برای اطلاعات بیشتر درباره نحوه کار الگوریتم AES به ویکی‌پدیا مراجعه کنید)

در الگوریتم AES به صورت خلاصه، طی فرایندهای نسبتاً پیچیده، متن اولیه به صورت 128 بیت ثابت (به صورت ماتریکسی 4 در 4) با کلید مورد نظر ما ترکیب شده سپس عملیات چند مرحله‌ای بر روی آن اجرا می‌شود که در آن پس از تغییرات پیچیده، متن نهایی رمزگذاری شده ما بدست می‌آید. در فرایند رمزنگاری نیز برعکس این عملیات بر روی رمز انجام شده و متن خالص تحویل داده می‌شود. البته برخی از پردازنده‌هایی که از طراحی CISC استفاده می‌کنند، دارای مجموعه دستورات AES هستند که به صورت تعبیه شده، امکان رمزگذاری و رمزنگاری را آسان تر می‌کند.

با توجه به این که یک کلید 128 بیتی (16 بایتی) دارای 2128 حالت مختلف می‌باشد، پس برای شکستن یک متن رمزگذاری شده باید 340 آندسیلیون (!) ترکیب مختلف را آزمایش کرد. با توجه به ویکی‌پدیا درحال حاضر سریع ترین سوپرکامپیوتر جهان (Tianhe-2) دارای سرعت 33.86 پتافلاپس در ثانیه (PFLOPS) است و از طرفی آزمایش هر کلید حدود 1000 فلاپس (حدوداً 250 چرخه در پردازنده‌های خانگی) نیاز دارد (طبق گرفته EETimes)، بنابراین با یک حساب ساده مشخص می‌شود که در یک ثانیه می‌توانیم با سریع ترین سوپرکامپیوتر جهان فقط 33860000000000 کلید را امتحان کنیم. حال با تقسیم تعداد ترکیب‌های 2128 بر عدد بدست آمده و تعداد ثانیه‌ها در یک سال، عدد 107 * 3.1 بدست می‌آید. این عدد نشان دهنده تعداد سال‌هایی است که برای کرک (Crack) کردن یک رمز 128 بیتی BitLocker توسط سوپرکامپیوتر Ti-2 لازم است.

 

سیستم مورد نیاز BitLocker

مایکروسافت برای افزایش فروش نسخه‌های حرفه‌ای تر ویندوز و در نتیجه بدست آوردن سود بیشتر، قابلیت بیت لاکر را در نسخه‌های ابتدایی و ساده ویندوز حذف کرده است. در لیست زیر نسخه‌هایی از ویندوز که دارای برنامه BitLocker هستند آمده است:

البته در ویندوز ویستا، از طریق رابط کاربری گرافیکی برنامه، فقط ولوم (معمولاً یک پارتیشن) اصلی سیستم عامل قابل رمزگذاری است که می‌توان این مشکل را با استفاده از رابط متنی Command-line حل کرد. از سرویس پک 1 به بعد همه ولوم‌ها دارای قابلیت رمزگذاری بودند. توجه کنید که رمزنگاری کردن حافظه‌های قابل حمل در همه نسخه‌های ویندوز 7 پشتیبانی می‌شود اما رمزگذاری تنها در نسخه‌های ذکر شده. همچنین بیت لاکر در ویندوز XP به صورت مستقیم پشتیبانی نمی‌شود.

سیستم مورد نیاز برای داشتن قابلیت بیت لاکر، علاوه بر وجود داشتن یکی از نسخه‌های ویندوز ذکر شده، موارد زیر است:

  • ماژول TPM نسخه 1.2 یا بالاتر (وجود آن ضروری نیست اما برای بیت لاکر بسیار کارآمد است) و قابل دسترس بودن آن.
  • بایوس سازگار با TCG (مخفف عبارت Trusted Computing Group) درصورت داشتن ماژول TPM.
  • پیکربندی بایوس به صورتی که قبل از شروع سیستم عامل امکان خواندن از حافظه فلش USB را داشته باشد.
  • وجود داشتن حداقل دو پارتیشن: 1- درایو سیستم 2- درایو سیستم عامل. درایو سیستم حتماً به صورت فعال بوده و دارای 100 مگابایت فضا باشد.
  • درایوی که جهت رمزگذاری انتخاب می‌شود باید حداقل دارای 64 مگابایت فضا باشد.
  • سیستم فایل درایو مورد نظر حتماً باید یکی از این گزینه‌ها باشد: NTFS, FAT32, FAT16, exFAT

دلیل این که حداقل دو پارتیشن نیاز است این است که پارتیشن سیستم رمزگذاری نمی‌شود و به صورت جداگانه کار بوت کردن ابتدایی و مدیریت کلیدها را انجام می‌دهد. همچنین شامل ابزارهای بازیابی بوده و در هنگام نصب ویندوز ساخته می‌شود. به این ترتیب پارتیشن رمزگذاری شده (پارتیشن سیستم عامل) دست نخورده باقی مانده و امنیت آن حفظ می‌شود. البته پارتیشن سیستم در ویندوز ویستا 1.5 گیگابایت است که در سایر نسخه‌ها به 100 مگابایت کاهش یافته است.

حمایت مالی از سایت

مبلغ مورد نظر:
نام:
ایمیل:
دلیل حمایت:
* فیلدهای نام، ایمیل و دلیل حمایت اختیاری اند.
* پرداخت با کمک پورتال زرین پال و با کارت‌های عضو شتاب انجام می‌پذیرد.

دیدگاه ها بسته شده است.