Introdução ao BitLocker: protegendo o disco do sistema

Autor: Oleg Afonin (Elcomsoft)

Se você é um usuário do Windows e já pensou em proteger seus dados com criptografia de disco completo, provavelmente já ouviu falar do BitLocker. O BitLocker é a implementação da Microsoft de criptografia de disco completo que é integrada a muitas versões do Windows. Você pode até usar o BitLocker sem perceber que o faz – por exemplo, se você tiver um Surface ou um dispositivo Windows fino e leve semelhante. Ao mesmo tempo, a criptografia do BitLocker não está disponível por padrão em desktops se você estiver usando a edição Home do Windows 10. Ativar o BitLocker no disco do sistema pode ser complicado e pode não funcionar imediatamente, mesmo se sua edição do Windows oferecer suporte. Neste artigo, oferecemos uma introdução à criptografia BitLocker. Detalharemos os tipos de ameaças contra as quais o BitLocker pode proteger seus dados com eficácia e o tipo de ameaças contra as quais o BitLocker é inútil.

Ameaças cobertas pela criptografia BitLocker

A criptografia BitLocker não é o tipo de proteção total e final. Embora o BitLocker criptografe seus dados com segurança com criptografia AES padrão do setor, ele só pode proteger seus dados contra um conjunto de ameaças muito específicas.

O BitLocker pode proteger seus dados com eficácia nas seguintes circunstâncias.

Seu (s) disco (s) rígido (s) são removidos do computador

Se, por qualquer motivo, seus discos rígidos (ou unidades SSD) forem removidos de seu computador, seus dados serão protegidos com segurança com uma chave de criptografia de 128 bits (os usuários que exigem segurança de nível superior podem especificar criptografia de 256 bits ao configurar o BitLocker) .

Quão seguro é esse tipo de proteção? Se você estiver usando proteção TPM (mais sobre isso mais tarde), é muito seguro; tão seguro quanto o próprio algoritmo AES (na visão leiga, a criptografia de 128 ou 256 bits é igualmente forte).

Se, no entanto, você habilitou o BitLocker em um computador sem TPM , a criptografia do BitLocker será tão segura quanto a senha que você definiu. Por esse motivo, certifique-se de especificar uma senha razoavelmente forte, razoavelmente longa e absolutamente exclusiva.

Todo o computador é roubado

Se todo o seu computador for roubado, a segurança dos seus dados dependerá do tipo de proteção do BitLocker que você está usando, bem como da força da sua senha do Windows. O método mais conveniente é “somente TPM” (mais sobre isso mais tarde); este também é o método menos seguro, porque seu computador irá descriptografar o (s) disco (s) rígido (s) antes de você entrar no Windows.

Se você estiver usando a política de proteção “somente TPM”, qualquer pessoa que conheça a senha da sua conta do Windows (ou a senha da sua conta da Microsoft, se você estiver usando uma conta da Microsoft como seu login do Windows 10) poderá desbloquear seus dados.

TPM + PIN é significativamente mais seguro; de certa forma, é praticamente tão seguro quanto um disco rígido vazio.

Se você configurar a proteção do BitLocker sem um TPM ou Intel PTT instalado, será forçado a usar a senha. Nesse caso, os dados estarão tão seguros quanto sua senha. O BitLocker foi projetado para desacelerar ataques de força bruta, portanto, até mesmo uma senha de 8 caracteres pode fornecer proteção segura aos seus dados.

Outros usuários no mesmo computador

 Se alguém puder fazer login no seu computador e acessar sua conta, o volume do disco já foi descriptografado. O BitLocker não protege contra usuários de computador pares.

Malware / ransomware e ameaças online

 O BitLocker não faz nada para proteger seus dados contra malware, ransomware ou ameaças online.

Em outras palavras, o BitLocker é excelente para proteger seus dados contra a remoção do (s) disco (s) rígido (s); é perfeito se você deseja proteger seus dados ao vender ou RMA seus discos rígidos. É um pouco menos eficaz (dependendo de suas políticas) ao proteger seus dados se todo o computador for roubado. É isso; outros casos de uso não são cobertos.

Requisitos de sistema

A maioria de nós está acostumada com os “Requisitos do Sistema” como uma mera formalidade. Este não é o caso do BitLocker. Para proteger seu dispositivo de inicialização com BitLocker, você deve executar o Windows 10 Professional ou superior. O Windows 10 Home não oferece suporte à criptografia do sistema BitLocker .

Para tornar as coisas mais confusas, a Microsoft oferece suporte à proteção de dispositivo BitLocker, mesmo em dispositivos com Windows 10 Home. Efetivamente, esta é a mesma criptografia, apenas com algumas limitações. A proteção de dispositivo BitLocker está disponível em dispositivos finos e leves (por exemplo, Microsoft Surface) com suporte para Standby conectado e equipados com armazenamento de estado sólido. Esses dispositivos devem estar equipados com um módulo TPM2.0 ou tecnologia Intel PTT.

Se você estiver usando o Windows 10 Professional ou superior com TPM2.0 ou Intel PTT, poderá habilitar o BitLocker imediatamente. No entanto, a maioria dos computadores não estão equipados com módulos TPM, e apenas os computadores mais recente geração (acho Intel 8 ª e 9 ª motherboards Gen; algumas placas-mãe high-end pode suportar Intel PTT com processadores mais antigos) suporte Intel Platform Confiança Tecnologia. Intel PTT nem mesmo é habilitado no BIOS por padrão; você deve habilitar manualmente a coisa para usá-lo para proteção do BitLocker.

Veja como você ativa o Intel PTT em placas Gigabyte Z390 (BIOS mais recente):

 

Como alternativa, você pode realizar uma edição de Política de Grupo para habilitar o BitLocker sem módulos de proteção de hardware.

Se o seu computador atender aos requisitos (ou seja, a presença de um módulo de hardware TPM2.0 ou tecnologia Intel Platform Trust baseada em software), habilitar o BitLocker em seu computador pode ser tão fácil quanto abrir o Painel de Controle e iniciar o miniaplicativo BitLocker Drive Encryption. Observe que nem todas as edições do Windows 10 podem usar a proteção do BitLocker.

Depois de clicar em “Ativar BitLocker”, o Windows solicitará que você crie uma chave de garantia (chave de recuperação do BitLocker). É altamente recomendável fazer isso. Em suma, armazenar a chave de recuperação em sua conta da Microsoft pode ser uma opção boa o suficiente para a maioria dos usuários domésticos, enquanto os funcionários armazenam suas chaves de recuperação no Active Directory da empresa. Salvar a chave em um arquivo ou imprimi-la também são opções válidas que fornecerão tanta segurança quanto seu cofre pessoal.

Dispositivos finos e leves (como tablets e ultrabooks do Windows) podem ser protegidos com criptografia de dispositivo, em oposição à criptografia de unidade BitLocker. O algoritmo é essencialmente o mesmo; entretanto, os requisitos de compatibilidade são diferentes. A criptografia de dispositivo está disponível para dispositivos finos e leves executando qualquer edição do Windows 10, enquanto o BitLocker Drive Encryption não está disponível para usuários do Windows 10 Home. Se você tiver dados para proteger, precisará pagar uma taxa por uma atualização local para o Windows 10 Professional.

E se você já tiver o Windows 10 Professional, mas não tiver um módulo de hardware TPM2.0? Se você estiver usando uma das placas mais recentes com base em chipsets Intel, poderá ativar a tecnologia Intel Platform Trust ( Como habilitar o BitLocker com Intel PTT e sem TPM para melhor segurança ) ou realizar a seguinte edição da Política de Grupo para habilitar o BitLocker :

  1. Abra o Editor de Política de Grupo (digite gpedit.msc na caixa de Pesquisa do Windows)
  2. Abra Política do computador local> Configuração do computador> Modelos administrativos> Componentes do Windows> Criptografia de unidade de disco BitLocker> Unidades do sistema operacional
  3. Edite a política de Exigir autenticação adicional na inicialização
  4. Defina a política como Habilitada e marque Permitir BitLocker sem um TPM compatível, conforme mostrado na captura de tela

Por falar nas políticas, o BitLocker oferece suporte a vários métodos de autenticação, cada um oferecendo uma compensação exclusiva entre segurança e conveniência.

  • Apenas TPM . Seu sistema inicializará no prompt de login; os dados serão descriptografados com uma chave armazenada no módulo TPM (ou Intel PTT). Esta é a opção mais conveniente que protege efetivamente os discos rígidos, mas oferece proteção mais fraca se o invasor tiver acesso a todo o sistema (computador com TPM e disco rígido).
  • TPM + PIN . Neste modo, o módulo TPM só liberará a chave de criptografia se você digitar corretamente o código PIN durante a fase de pré-inicialização. Mesmo que o código PIN seja curto, inserir o PIN errado várias vezes faz o TPM entrar em pânico e bloquear o acesso à chave de criptografia. Esta opção oferece sem dúvida o melhor equilíbrio entre segurança e conveniência, combinando “algo que você tem” (o módulo TPM) com “algo que você conhece” (o código PIN). Ao mesmo tempo, esta opção pode não ser conveniente em ambientes multiusuário.
  • TPM + chave USB . Esta opção requer que o TPM e uma unidade flash USB (ou smartcard CCID) estejam presentes para que o sistema seja inicializado.
  • TPM + PIN + Chave USB . Tal como o nome sugere, esta opção requer todos os três TPM, código PIN e chave USB / smartcard para inicializar o seu computador. Embora esta seja provavelmente a opção mais segura, os benefícios adicionais de segurança dificilmente valem a pena em comparação com a opção TPM + PIN se você considerar a conveniência e confiabilidade reduzidas (você terá que usar a chave de recuperação se uma chave USB ou cartão inteligente for perdido ou corrompido).
  • Chave USB . Esta opção só é recomendada se o seu computador não estiver equipado com um módulo TPM e não for compatível com o Intel PTT.
  • Somente senha . Assim como a opção anterior, a autenticação “somente senha” deve ser usada apenas se nenhum TPM ou Intel PTT estiver disponível. Observe que a opção “senha” é diferente do “PIN”, pois não há limite obrigatório no número de tentativas de senha sem um TPM, o que permite um ataque de força bruta à senha.

Usuários avançados e administradores de sistema podem consultar as configurações de Política de Grupo do BitLocker na Base de Dados de Conhecimento da Microsoft.

Quais são as advertências quando se trata de proteger os dados contra extração física? O fato é que, embora o BitLocker seja uma solução quase 100% eficaz para proteger a unidade vazia, pode não ser tão seguro se o invasor tiver acesso a todo o computador com o disco rígido instalado. Mesmo se o seu computador estiver equipado com um módulo TPM2.0 / Intel PTT, o Windows ainda desbloqueará o disco rígido criptografado se as condições de inicialização segura forem atendidas. Isso, por sua vez, abre vários vetores de ataque que podem permitir ao invasor interceptar a chave de criptografia do BitLocker em tempo real e descriptografar o disco rígido. Esses vetores de ataque incluem:

  1. Criar uma imagem de RAM de um computador em execução com volume (s) BitLocker montados. Isso pode ser feito por meio de um ataque Thunderbolt (o Windows, por padrão, não desativa o acesso Thunderbolt DMA quando bloqueado) ou um ataque de inicialização a frio .
  2. Quebrar ou extrair sua senha de logon do Windows (por exemplo, extrair de sua conta do Google, seu smartphone ou de outro computador no qual você efetuou login e sincronizou seus dados).
  3. Obtendo sua chave de recuperação do BitLocker de sua conta da Microsoft ou Active Directory.

Usuários avançados e administradores de sistema podem ler o seguinte guia para proteger seus volumes do BitLocker : Guia de recuperação do BitLocker

Conclusão

A proteção de dados confiável é impossível sem proteger seu dispositivo de inicialização. O BitLocker é a escolha perfeita. É seguro, conveniente e altamente configurável, permitindo que você equilibre segurança e conveniência com seus requisitos precisos. Se você está preocupado com a segurança de seus dados, proteger seu dispositivo de inicialização com o BitLocker é uma etapa absolutamente obrigatória e a camada de segurança mais importante.

Referências

Este artigo é uma tradução de: https://blog.elcomsoft.com/2020/01/introduction-to-bitlocker-protecting-your-system-disk/