Jak na Windows BitLocker v režimu TPM+PIN+Startup Key

Šifrování celého disku by měl být, zejména na jakémkoli notebooku, který opouští dům či kancelář, imperativ. Odcizení či ztrátě nelze zcela předejít a sebelepší opatrnost ani magické rituály nedokáží fyzické ztrátě laptopu s diskem zabránit. Citlivá data má na počítači úplně každý. Minimálně je skoro každý přihlášen v prohlížeči trvale do svého hlavního e-mailu na Googlu či Seznamu, případně má heslo či token uložen v Outlooku či Thunderbirdu – tím pádem lze přístupem do emailové schránky resetovat hesla skoro u všech ostatních služeb. Většina rozumných business grade počítačů už má víc než 10 let v sobě TPM čip, který je u Windows BitLockeru výchozím způsobem, jak odemykat šifrovaný disk při startu PC. Samotný TPM ale nemusí být úplně bezpečný a ačkoli pro řadu účelů to bohatě dodnes může stačit (zejména jde-li o takovou konkrétní implementaci TPM, která nebyla zjevně prolomena), tak pokud je vyžadována maximální ochrana šifrovaného disku, je při použití BitLockeru a nikoli jiného řešení třetí strany nejrobustnější metodou spojení tří faktorů: TPM čipu, PINu či hesla, a dalšího klíče na USB flashdisku. Všechny tři věci se musí při startu a restartu počítače spojit, aby se disk odemkl. Bohužel tato třífaktorová autentizace dodnes není v grafickém klikátku Windows dostupná a musí se realizovat nejprve úpravou v editoru zásad skupiny (gpedit.msc) a potom pomocí příkazové řádky nástrojem manage-bde. Tady je návod jak to udělat pro systémovou jednotku C:


Pokračování textu Jak na Windows BitLocker v režimu TPM+PIN+Startup Key