Šifrování celého disku by měl být, zejména na jakémkoli notebooku, který opouští dům či kancelář, imperativ. Odcizení či ztrátě nelze zcela předejít a sebelepší opatrnost ani magické rituály nedokáží fyzické ztrátě laptopu s diskem zabránit. Citlivá data má na počítači úplně každý. Minimálně je skoro každý přihlášen v prohlížeči trvale do svého hlavního e-mailu na Googlu či Seznamu, případně má heslo či token uložen v Outlooku či Thunderbirdu – tím pádem lze přístupem do emailové schránky resetovat hesla skoro u všech ostatních služeb. Většina rozumných business grade počítačů už má víc než 10 let v sobě TPM čip, který je u Windows BitLockeru výchozím způsobem, jak odemykat šifrovaný disk při startu PC. Samotný TPM ale nemusí být úplně bezpečný a ačkoli pro řadu účelů to bohatě dodnes může stačit (zejména jde-li o takovou konkrétní implementaci TPM, která nebyla zjevně prolomena), tak pokud je vyžadována maximální ochrana šifrovaného disku, je při použití BitLockeru a nikoli jiného řešení třetí strany nejrobustnější metodou spojení tří faktorů: TPM čipu, PINu či hesla, a dalšího klíče na USB flashdisku. Všechny tři věci se musí při startu a restartu počítače spojit, aby se disk odemkl. Bohužel tato třífaktorová autentizace dodnes není v grafickém klikátku Windows dostupná a musí se realizovat nejprve úpravou v editoru zásad skupiny (gpedit.msc) a potom pomocí příkazové řádky nástrojem manage-bde. Tady je návod jak to udělat pro systémovou jednotku C:
Metoda BitLockeru „TPM+PIN+Key“ využívá jak TPM na základní desce, tak i PIN při startu PC, tak i klíč na USB klíčence nutný při startu PC. Samotný TPM není úplně dostatečné zabezpečení. Kombinace PIN+KEY, TPM+KEY či TPM+PIN už je lepší, všechny tyto metody lze po jejich povolení v gpedit.msc naklikat i graficky. Trojkombinace TPM+PIN+KEY je patrně nejlepší zabezpečení, pokud se spokojíme s tím, co je ve Windows 10 Professional, a verzích Ultimate a Enterprise už postupně od Windows Vista, přes Win7 a Win8.
Toto trojfaktorové zabezpečení disku nelze provést přes grafický nástroj, ale jen úpravou v gpedit.msc a pak přes příkazovou řádku a manage-bde (je nutné spustit cmd.exe jako administrátor – tj. otevřít nabídku Start, napsat cmd.exe, pravým tlačítkem kliknout na spouštěč příkazové řádky a zvolit Spustit jako administrátor, a potvrdit to jste-li sami administrátorský účet, nebo zadat heslo admina systému).
Vycházím z návodu zveřejněného na lanoe.net a na konec jej jen doplňuji o způsob, jak si vytvořit i numerický klíč pro obnovu, tak jak to Windows standardně nabízejí, když se BitLocker aktivuje přes grafické klikátko.
- incializovat TPM pokusem o grafické zapnutí Bitlockeru na C: nebo přes tpm.msc
- gpedit.msc, Konfigurace počítače → Šablony pro správu → Součásti systému Windows → Šifrování jednotky nástrojem BitLocker → Jednotky operačního systému → Požadovat při spouštění další ověřování a tam zvolit u všeho “nedovolit” a povolit až poslední “Povolit spouštěcí klíč a PIN kód s čipem TPM”.
- vložit administrátorský flash disk s nešifrovaným oddílem (FAT32) a vytvořit klíč pro obnovu (pokud je flashdisk jednotka E:): manage-bde -protectors -add C: -RecoveryKey E: a tento BEK klíč pak někam bezpečně jako admin zálohovat (např. do Keepassu jako přílohu) (Pozor, WordPress mi tu může prznit jednoduché spojovníky a nahrazovat je, parametry manage-bde typu -protectors jsou vždy s jednoduchým spojovníkem, nikoli dvojitým či pomlčkou)
- vložit flashdisk, který pak dostane uživatel, s nešifrovaným oddílem (FAT32) a vytvořit spouštěcí klíč: manage-bde -protectors -add C: -TPMandPINandStartupKey -tp TadyZadatPIN -tsk E: – pozor, při přihlašování v PreBootu je aktivní US klávesnice a nikoli česká, tj. nelze zadat české znaky, a čísla PINu se zadávají na horní řadě kláves bez Shiftu. V případě použití alfanumerického hesla a nikoli číselného PINu je předtím ještě nutné v gpedit.msc povolit „rozšířené kódy PIN“, v případě použití čtyř nebo pěticiferného PINu je pak ještě nutné povolit tyto kratší PINy rovněž v gpedit.msc – v takovém případě pak Windows donutí TPM čip k přísnějším pravidlům opakovaného přístupu ke klíči (rate limiting).
- zapnout šifrování: manage-bde -on C:
- restartovat počítač, po restartu nechat flashdisk v jednotce a zadat PIN, tím se otestuje funkčnost, po restartu se automaticky zahájí šifrování
- pro přidání číselného obnovovacího klíče, co se zadává ručně, nikoli jen recovery BEK klíče na flashdisku lze ještě spustit: manage-bde -protectors -add C: -RecoveryPassword a uložení/vytištění zobrazeného obnovovacího číselného klíče.
Na konci tohoto procesu by při zobrazení manage-bde -status C: měly existovat jako Key Protectors (1) External Key (tj. BEK klíč pro automatické spuštění PC bez čehokoli), (2) TPM and PIN and Startup Key (standardní proces spouštění), a (3) Numerical Password (tj. vytištěný/uložený číselný klíč pro ruční zadání). „Administrátorský flash disk“ s tím obnovovacím klíčem („External Key“) nebo vytištěný papír s tím číselným obnovovacím klíčem se samozřejmě nesmí nosit spolu s počítačem, ale má ležet někde bezpečně v budově v sejfu/zamčené skříni pro případ odemčení disku v případě jeho výměny do jiného počítače, po selhání základní desky, změně HW konfigurace atd., a tudíž odmítnutí předání klíče ze strany TPM čipu.
