بیت لاکر BitLocker چیه؟
بیت لاکر (BitLocker - BitLocker Drive Encryption) قابلیت امنیتیه که از نسخههای نهایی (Ultimate) و تجاری (Enterprise) ویندوز ویستا به بعد، به ویندوز اضافه شده و وظیفه رمزگذاری روی دادهها رو برعهده داره. بیت لاکر قابلیت رمزگذاری و قفل تمام Volumeهای پارتیشنها را با استفاده از کلیدهای ۱۲۸ یا ۲۵۶ بیتی و با الگوریتم رمزگذاری AES در حالت CBC داره.
در رابط جدید BitLocker علاوه بر رمزگذاری ولومهای هارد دیسک، امکان رمزگذاری بر روی سایر دستگاههای ذخیرهسازی قابل حمل از جمله حافظههای USB نیز اضافه شده است.
حالتهای رمزنگاری در BitLocker و نحوه کارشون:
بیت لاکر دارای سه حالت رمزنگاریه که امکان دسترسی دادهها رو به کاربر و برنامهها میده. این سه مورد میتونن در کنار یکدیگر یا به صورت انفرادی برای رمزنگاری مورد استفاده قرار بگیرن. بدیهیه که با استفاده همزمان از چندین حالت میشه دسترسی غیرمجازو محدودتر کرد. این سه مورد طبق گفته مایکروسافت تو صفحه آموزشی بیت لاکر، عبارتند از:
عملیات نامرئی:
بیت لاکر دارای قابلیتیه که میتونه از TPM (مخفف Trusted Platform Module) نسخه ۱.۲ برای نگهداری اطلاعات رمزنگاریش استفاده کنه؛ بنابراین دسترسی به دادهها تا زمانی که TPM اونا رو معتبر نشناسه غیرممکن خواهد بود. TPM یک چیپ روی برخی از مادربوردهاست که وظیفه حفظ اطلاعات رمزنگاری رو برعهده داره. البته این گزینه میتونه غیرفعال شه. پروسه رمزنگاری در حالت عملیات نامرئی به ترتیب زیره:
۱- هنگام روشن کردن کامپیوتر، بایوس اطلاعات داخل ماژول TMP را مورد بررسی قرار میده. این اطلاعات با PCRs (مخفف Platform Configuration Registers به معنای ثباتهای پیکربندی پلتفرم) در ارتباط بوده و از آنجا بررسی میشن.
۲- درصورتی که اطلاعات با ثباتها هماهنگ باشن، TMP از کلید ریشه حافظه (SRK - مخفف Storage Root Key) برای رمزنگاری کلید اصلی ولوم (VMK - مخفف Volume Master Key) استفاده خواهد کرد.
۳- کلید اصلی رمزنگاری ولوم (FVEK - مخفف Full Volume Encryption Key) از دادههای رمزگذاری شده آن ولوم استخراج شده و توسط VMK رمزنگاری میشه. به این ترتیب کلید FVEK رمزنگاری شده، برای رمزنگاری کل دادهها استفاده خواهد شد و دادههای خالص مورد پردازش قرار خواهند گرفت.
به صورت خلاصه، پس از بررسی ماژول توسط بایوس، کلید SRK برای رمزنگاری VMK و کلید VMK برای رمزنگاری کلید اصلی FVEK و در نهایت کلید FVEK برای رمزنگاری دادهها استفاده میشن.
تایید اعتبار دستی:
تو این حالت، سیستم از کاربر کدی رو میخواد تا به وسیله اون دادهها رو رمزنگاری کنه. این کد، PIN هم خونده میشه و قبل از بوت شدن سیستم عامل، از کاربر درخواست میشه.
۱- قبل از بوت شدن سیستم عامل (پس از بالا اومدن از طریق درایو رمزگذاری نشده سیستم)، از کاربر کد رمز اصلی (PIN) درخواست میشه.
۲- کلید VMK توسط PIN وارد شده رمزنگاری میشه.
۳- کلید اصلی رمزنگاری ولوم FVEK از دادههای رمزگذاری شده اون ولوم استخراج شده و توسط VMK رمزنگاری میشه. به این ترتیب کلید FVEK رمزنگاری شده، برای رمزنگاری کل دادهها استفاده خواهد شد و دادههای خالص مورد پردازش قرار خواهند گرفت.
◾️دستگاه USB:
درخواست اتصال USB در بیت لاکر ویندوز ۸.۱
بیت لاکر به کاربر این امکانو فراهم میکنه تا با استفاده از یک دستگاه USB (مثل حافظههای USB) که شامل کدهای اجرایی هستن، سیستم عاملو بوت کنه. البته باید امکان اینو داشته باشه و تا قبل از بالا اومدن سیستم عامل، بتونه از محتوای حافظه USB استفاده کنه.
۱- هنگام بوت شدن سیستم عامل، از کاربر درخواست دیوایس USB میشه.
۲- پس از بررسیهای لازم، کلید VMK توسط کد موجود در حافظه USB رمزنگاری میشه.
۳- کلید اصلی رمزنگاری ولوم FVEK از دادههای رمزگذاری شده اون ولوم استخراج شده و توسط VMK رمزنگاری میشه. به این ترتیب کلید FVEK رمزنگاری شده، برای رمزنگاری کل دادهها استفاده خواهد شد و دادههای خالص مورد پردازش قرار خواهند گرفت.
بیت لاکر این اجازه رو به کاربر میده تا از هر یک از روشهای بالا به صورت تکی یا به صورت ترکیبی با سایر روشها، برای رمزنگاری دادهها استفاده کنه. یعنی روشهای زیر قابل استفاده هستند:
+ حالت نامرئی حالت نامرئی
+ تایید کاربر حالت نامرئی
+ کلید USB حالت نامرئی
+ تایید کاربر
+ کلید USB تایید کاربر (البته این روش از طریق تغییر در Group Policy قابل استفاده است) کلید USB.
بیت لاکر BitLocker چیه؟بیت لاکر (BitLocker - BitLocker Drive Encryption) قابلیت امنیتیه که از نسخههای نهایی (Ultimate) و تجاری (Enterprise) ویندوز ویستا به بعد، به ویندوز اضافه شده و وظیفه رمزگذاری روی دادهها رو برعهده داره. بیت لاکر قابلیت رمزگذاری و قفل تمام Volumeهای پارتیشنها را با استفاده از کلیدهای ۱۲۸ یا ۲۵۶ بیتی و با الگوریتم رمزگذاری AES در حالت CBC داره.در رابط جدید BitLocker علاوه بر رمزگذاری ولومهای هارد دیسک، امکان رمزگذاری بر روی سایر دستگاههای ذخیرهسازی قابل حمل از جمله حافظههای USB نیز اضافه شده است.حالتهای رمزنگاری در BitLocker و نحوه کارشون:بیت لاکر دارای سه حالت رمزنگاریه که امکان دسترسی دادهها رو به کاربر و برنامهها میده. این سه مورد میتونن در کنار یکدیگر یا به صورت انفرادی برای رمزنگاری مورد استفاده قرار بگیرن. بدیهیه که با استفاده همزمان از چندین حالت میشه دسترسی غیرمجازو محدودتر کرد. این سه مورد طبق گفته مایکروسافت تو صفحه آموزشی بیت لاکر، عبارتند از:
عملیات نامرئی:بیت لاکر دارای قابلیتیه که میتونه از TPM (مخفف Trusted Platform Module) نسخه ۱.۲ برای نگهداری اطلاعات رمزنگاریش استفاده کنه؛ بنابراین دسترسی به دادهها تا زمانی که TPM اونا رو معتبر نشناسه غیرممکن خواهد بود. TPM یک چیپ روی برخی از مادربوردهاست که وظیفه حفظ اطلاعات رمزنگاری رو برعهده داره. البته این گزینه میتونه غیرفعال شه. پروسه رمزنگاری در حالت عملیات نامرئی به ترتیب زیره:
۱- هنگام روشن کردن کامپیوتر، بایوس اطلاعات داخل ماژول TMP را مورد بررسی قرار میده. این اطلاعات با PCRs (مخفف Platform Configuration Registers به معنای ثباتهای پیکربندی پلتفرم) در ارتباط بوده و از آنجا بررسی میشن.۲- درصورتی که اطلاعات با ثباتها هماهنگ باشن، TMP از کلید ریشه حافظه (SRK - مخفف Storage Root Key) برای رمزنگاری کلید اصلی ولوم (VMK - مخفف Volume Master Key) استفاده خواهد کرد.۳- کلید اصلی رمزنگاری ولوم (FVEK - مخفف Full Volume Encryption Key) از دادههای رمزگذاری شده آن ولوم استخراج شده و توسط VMK رمزنگاری میشه. به این ترتیب کلید FVEK رمزنگاری شده، برای رمزنگاری کل دادهها استفاده خواهد شد و دادههای خالص مورد پردازش قرار خواهند گرفت.به صورت خلاصه، پس از بررسی ماژول توسط بایوس، کلید SRK برای رمزنگاری VMK و کلید VMK برای رمزنگاری کلید اصلی FVEK و در نهایت کلید FVEK برای رمزنگاری دادهها استفاده میشن.
تایید اعتبار دستی:تو این حالت، سیستم از کاربر کدی رو میخواد تا به وسیله اون دادهها رو رمزنگاری کنه. این کد، PIN هم خونده میشه و قبل از بوت شدن سیستم عامل، از کاربر درخواست میشه.
۱- قبل از بوت شدن سیستم عامل (پس از بالا اومدن از طریق درایو رمزگذاری نشده سیستم)، از کاربر کد رمز اصلی (PIN) درخواست میشه.۲- کلید VMK توسط PIN وارد شده رمزنگاری میشه.۳- کلید اصلی رمزنگاری ولوم FVEK از دادههای رمزگذاری شده اون ولوم استخراج شده و توسط VMK رمزنگاری میشه. به این ترتیب کلید FVEK رمزنگاری شده، برای رمزنگاری کل دادهها استفاده خواهد شد و دادههای خالص مورد پردازش قرار خواهند گرفت.◾️دستگاه USB:
درخواست اتصال USB در بیت لاکر ویندوز ۸.۱
بیت لاکر به کاربر این امکانو فراهم میکنه تا با استفاده از یک دستگاه USB (مثل حافظههای USB) که شامل کدهای اجرایی هستن، سیستم عاملو بوت کنه. البته باید امکان اینو داشته باشه و تا قبل از بالا اومدن سیستم عامل، بتونه از محتوای حافظه USB استفاده کنه.
۱- هنگام بوت شدن سیستم عامل، از کاربر درخواست دیوایس USB میشه.۲- پس از بررسیهای لازم، کلید VMK توسط کد موجود در حافظه USB رمزنگاری میشه.۳- کلید اصلی رمزنگاری ولوم FVEK از دادههای رمزگذاری شده اون ولوم استخراج شده و توسط VMK رمزنگاری میشه. به این ترتیب کلید FVEK رمزنگاری شده، برای رمزنگاری کل دادهها استفاده خواهد شد و دادههای خالص مورد پردازش قرار خواهند گرفت.بیت لاکر این اجازه رو به کاربر میده تا از هر یک از روشهای بالا به صورت تکی یا به صورت ترکیبی با سایر روشها، برای رمزنگاری دادهها استفاده کنه. یعنی روشهای زیر قابل استفاده هستند:
+ حالت نامرئی حالت نامرئی + تایید کاربر حالت نامرئی + کلید USB حالت نامرئی + تایید کاربر + کلید USB تایید کاربر (البته این روش از طریق تغییر در Group Policy قابل استفاده است) کلید USB.
رمزگذای در بیت لاکر