BitLocker s TPM

Dneska sem si konečně na notebooku zapnul BitLocker. Už sem se na to dlouho těšil. Mám totiž noťas s TPM. To je hardwarové uložiště jeho dešifrovacího klíče. Nic extra speciálního, jen prostě nemusíte mít USB klíč. A vesele šifrujete celý disk. Prostě bezpečí na úrovni :-)

Už dřív sem tady psal, proč je BitLocker dobrý a taky sem uváděl nějaká videa, jak zapnout BitLocker s USB klíčem a jak to případně obnovit při havárii.

Co je TPM

Trusted Policy Module je vlastně čipová karta umístěná přímo na desce počítače (motherboard). Zjednodušeně řečeno, umí uložit šifrovací klíče. Je tam ale zásadní rozdíl oproti normální čipové kartě.

Čipová karta vám vydá klíč, když zadáte PIN. S BitLockerem ale potřebujete restartovat počítač bez zadávání čehokoliv. Například server vzdáleně.

TPM to dělá trošku jinak. Místo aby chtěl PIN (i když i to jde zapnout), kontroluje konfiguraci počítače. Kontroluje signaturu BIOSu, jeho konfigurace, konfigurace hardware, harddisků, pamětí apod. Kontroluje také signaturu zavaděče operačního systému. A teprve pak vydá klíče.

Co to znamená? Jednoduše dá klíče jen operačnímu systému. A to jen v případě, že nic z konfigurace ani systém sám, nebyl nijak modifikován. Zajistí to tedy boot až do přihlašovací obrazovky.

Pokud bych jenom ukradl harddisk, hesla nedostanu. Pokud bych ukradl celý server i s TPM, sice nabootuju, ale bez znalosti hesla se do systému stejně nedostanu.

Příprava na zapnutí BitLockeru

BitLocker šifruje všechny oddíly až na jeden. Musíte mít 1500 MB nezašifrovaný oddíl se zavaděčem. Teprve tento BOOTMGR načte klíče z TPM a dešifruje oddíl s operačním systémem (boot partition).

To se dá zařídit buď ručně, nebo pomocí nástroje BitLocker Drive Preparation Tool, viz. moje předchozí video.

A samotné zapnutí

Je to velmi jednoduše vidět na obrázcích. Takže jen nepatrné komentáře. Nejprve si pustíte ovládací panel BitLocker.

A stisknete čudlík na jeho zapnutí. Vyskočí na vás varování, že musíte nejprve TPM inicializovat a zapnout. To vyžaduje jeden restart. Pořád ještě nešifrujeme.

Po restartu se to ještě musí poněkud dokončit.

Systém vygeneruje šifrovací klíče a uloží je do TPM. Pokud byste ale o TPM z nějakého důvody přišli, už byste data z disku nikdy nedostali. Je tedy rozumné uložit si, nebo si i vytisknout, dešifrovací heslo.

Papír co vyleze z tiskárny vypadá nějak takto. Obsahuje to dvě hesla. Jedno heslo je pro dešifrování oddílu samotného. Druhé je pro reset/inicializaci/vymazání TPM v případě havárie:

Buďte v klidu, heslo pro dešifrování oddílu z předchozího obrázku se dá použít i bez TPM. Takže lze i přenést zašifrovaný harddisk a dešifrovat jinde.

Ještě vám to nabídne kontrolu systému. Jen jestli TPM skutečně funguje, aby se něco nepodělalo :-) Takže vřele doporučuju.

A už vás to otravuje s dalším restartem. Nic násilného, prostě jen malinká ikonka u hodin (proces FVENOTIFY). A hrajem…

Po restartu si můžete prohlížet vývoj šifrování. Jde to dokonce pozastavit. Můžet během toho i restartovat. Šifrování bude pokračovat později. Zkusil sem i sleep. Chvilka napětí... A super, probudilo se to ok :-)

Tak hurá do toho. Bezpečnosti zdar!

No, všechno má nějaké problémy. Mě třeba po zapnutí BitLockeru přestala fungovat česká klávesnice :-) Ale po restartu se to zase samo opravilo. Uf.