Jak na Windows BitLocker v režimu TPM+PIN+Startup Key

Šifrování celého disku by měl být, zejména na jakémkoli notebooku, který opouští dům či kancelář, imperativ. Odcizení či ztrátě nelze zcela předejít a sebelepší opatrnost ani magické rituály nedokáží fyzické ztrátě laptopu s diskem zabránit. Citlivá data má na počítači úplně každý. Minimálně je skoro každý přihlášen v prohlížeči trvale do svého hlavního e-mailu na Googlu či Seznamu, případně má heslo či token uložen v Outlooku či Thunderbirdu – tím pádem lze přístupem do emailové schránky resetovat hesla skoro u všech ostatních služeb. Většina rozumných business grade počítačů už má víc než 10 let v sobě TPM čip, který je u Windows BitLockeru výchozím způsobem, jak odemykat šifrovaný disk při startu PC. Samotný TPM ale nemusí být úplně bezpečný a ačkoli pro řadu účelů to bohatě dodnes může stačit (zejména jde-li o takovou konkrétní implementaci TPM, která nebyla zjevně prolomena), tak pokud je vyžadována maximální ochrana šifrovaného disku, je při použití BitLockeru a nikoli jiného řešení třetí strany nejrobustnější metodou spojení tří faktorů: TPM čipu, PINu či hesla, a dalšího klíče na USB flashdisku. Všechny tři věci se musí při startu a restartu počítače spojit, aby se disk odemkl. Bohužel tato třífaktorová autentizace dodnes není v grafickém klikátku Windows dostupná a musí se realizovat nejprve úpravou v editoru zásad skupiny (gpedit.msc) a potom pomocí příkazové řádky nástrojem manage-bde. Tady je návod jak to udělat pro systémovou jednotku C:


Metoda BitLockeru „TPM+PIN+Key“ využívá jak TPM na základní desce, tak i PIN při startu PC, tak i klíč na USB klíčence nutný při startu PC. Samotný TPM není úplně dostatečné zabezpečení. Kombinace PIN+KEY, TPM+KEY či TPM+PIN už je lepší, všechny tyto metody lze po jejich povolení v gpedit.msc naklikat i graficky. Trojkombinace TPM+PIN+KEY je patrně nejlepší zabezpečení, pokud se spokojíme s tím, co je ve Windows 10 Professional, a verzích Ultimate a Enterprise už postupně od Windows Vista, přes Win7 a Win8.

Toto trojfaktorové zabezpečení disku nelze provést přes grafický nástroj, ale jen úpravou v gpedit.msc a pak přes příkazovou řádku a manage-bde (je nutné spustit cmd.exe jako administrátor – tj. otevřít nabídku Start, napsat cmd.exe, pravým tlačítkem kliknout na spouštěč příkazové řádky a zvolit Spustit jako administrátor, a potvrdit to jste-li sami administrátorský účet, nebo zadat heslo admina systému).

Vycházím z návodu zveřejněného na lanoe.net a na konec jej jen doplňuji o způsob, jak si vytvořit i numerický klíč pro obnovu, tak jak to Windows standardně nabízejí, když se BitLocker aktivuje přes grafické klikátko.

  1. incializovat TPM pokusem o grafické zapnutí Bitlockeru na C: nebo přes tpm.msc
  2. gpedit.msc, Konfigurace počítače → Šablony pro správu → Součásti systému Windows → Šifrování jednotky nástrojem BitLocker → Jednotky operačního systému → Požadovat při  spouštění další ověřování a tam zvolit u všeho “nedovolit” a povolit až poslední “Povolit spouštěcí klíč a PIN kód s čipem TPM”.
  3. vložit administrátorský flash disk s nešifrovaným oddílem (FAT32) a vytvořit klíč pro obnovu (pokud je flashdisk jednotka E:): manage-bde -protectors -add C: -RecoveryKey E: a tento BEK klíč pak někam bezpečně jako admin zálohovat (např. do Keepassu jako přílohu) (Pozor, WordPress mi tu může prznit jednoduché spojovníky a nahrazovat je, parametry manage-bde typu -protectors jsou vždy s jednoduchým spojovníkem, nikoli dvojitým či pomlčkou)
  4. vložit flashdisk, který pak dostane uživatel, s nešifrovaným oddílem (FAT32) a vytvořit spouštěcí klíč: manage-bde -protectors -add C: -TPMandPINandStartupKey -tp TadyZadatPIN -tsk E: – pozor, při přihlašování v PreBootu je aktivní US klávesnice a nikoli česká, tj. nelze zadat české znaky, a čísla PINu se zadávají na horní řadě kláves bez Shiftu. V případě použití alfanumerického hesla a nikoli číselného PINu je předtím ještě nutné v gpedit.msc povolit „rozšířené kódy PIN“, v případě použití čtyř nebo pěticiferného PINu je pak ještě nutné povolit tyto kratší PINy rovněž v gpedit.msc – v takovém případě pak Windows donutí TPM čip k přísnějším pravidlům opakovaného přístupu ke klíči (rate limiting).
  5. zapnout šifrování: manage-bde -on C:
  6. restartovat počítač, po restartu nechat flashdisk v jednotce a zadat PIN, tím se otestuje funkčnost, po restartu se automaticky zahájí šifrování
  7. pro přidání číselného obnovovacího klíče, co se zadává ručně, nikoli jen recovery BEK klíče na flashdisku lze ještě spustit: manage-bde -protectors -add C: -RecoveryPassword a uložení/vytištění zobrazeného obnovovacího číselného klíče.

Na konci tohoto procesu by při zobrazení manage-bde -status C: měly existovat jako Key Protectors (1) External Key (tj. BEK klíč pro automatické spuštění PC bez čehokoli), (2) TPM and PIN and Startup Key (standardní proces spouštění), a (3) Numerical Password (tj.  vytištěný/uložený číselný klíč pro ruční zadání). „Administrátorský flash disk“ s tím obnovovacím klíčem („External Key“) nebo vytištěný papír s tím číselným obnovovacím klíčem se samozřejmě nesmí nosit spolu s počítačem, ale má ležet někde bezpečně v budově v sejfu/zamčené skříni pro případ odemčení disku v případě jeho výměny do jiného počítače, po selhání základní desky, změně HW konfigurace atd., a tudíž odmítnutí předání klíče ze strany TPM čipu.

Autor

Martin

Pracuji jako ajťák a grafik na volné noze, zejména ale pro brněnskou firmu vyrábějící ekodrogerii. Dále působím v brněnském systému místní směny Rozleťse, Českém zahrádkářském svazu, České psychedelické společnosti, spolku Archetypal a Mezinárodní komunitě dzogčhenu. Chcete mě podpořit? BTC: 37mf2FJR26Ce3DxMkocukJDgB1eVjasnZB, příp. PGP podepsané adresy dalších kryptoměn.

Napsat komentář

Vaše e-mailová adresa nebude zveřejněna. Vyžadované informace jsou označeny *