En un post anterior, inicié esta serie con una breve introducción a BitLocker Drive Encryption, siendo una solución para la protección de nuestros datos y que es una de las nuevas características de seguridad en Windows Vista y en Windows Server 2008. Continuando con este tema, ahora veremos a mayor detalle los mecanismos de encriptación que BitLocker utiliza y las fases de arranque de BitLocker cuando encendemos nuestro equipo.

Mecanismos de encriptación:

Keys

Para acceder a los datos encriptados,  BitLocker utiliza una llave llamada Full Volume Encryption Key (FVEK) de 256 bits. Dicha llave, es a su vez encriptada utilizando otra llave de 256 bits llamada Volume Master Key (VMK), la cual es guardada en el módulo TPM de nuestro equipo o en una memoria USB.

Tanto la FVEK como la VMK utilizan AES como estándar de encriptación y se pueden especificar cuatro niveles de seguridad al momento de implementar BitLocker:

  • AES de 128 bits con difusor dedicado
  • AES de 256 bits con difusor dedicado (el más fuerte, pero puede afectar el desempeño del sistema)
  • AES de 128 bits
  • AES de 256 bits

FVE Filter DriverEl proceso de encriptación de los datos necesariamente implica una reducción en el desempeño del sistema, pues las operaciones criptográficas requieren cierto tiempo de procesador para llevarse a cabo. Sin embargo el motor de AES que usa BitLocker fue diseñado de tal forma que fuera lo más eficiente posible. De hecho, en los equipos nuevos, dicho impacto en desempeño es mínimo (entre el 3 y el 5%).

La encriptación y desencriptación se realiza al momento de leer y escribir los datos, y se hace través del FVE Filter Driver (fvevol.sys), el cual actúa como capa intermedia entre el Sistema de Archivos (que recibe el contenido de los archivos ya desencriptado) y el Administrador del Volumen (que da acceso al volumen). Para el usuario es transparente esta acción, pues no percibe la actividad de encriptación y desencriptación que se lleva a cabo mientras interactúa con el sistema.

Si desean conocer a mayor detalle los algoritmos que utiliza Windows Vista para encriptación de datos, les recomiendo descarguen el artículo "AES-CBC + Elephant diffuser", disponible en el sitio de Microsoft Downloads.

Fases de BitLocker al momento de arrancar el sistema:

¿Qué sucede cuando encendemos nuestra computadora, una vez que tenemos configurado BitLocker?

  1. Verificación de la integridad del sistema: Si contamos con un módulo TPM, BitLocker verifica que el disco duro esté montado a la computadora correcta (es decir, que no haya sido removido) y valida que los archivos de sistema críticos se encuentren intactos.

  2. Autenticación del usuario (opcional): Si la autenticación del usuario está configurada, el Administrador de Arranque de Windows (Windows Boot Manager) puede: buscar una llave en la memoria USB (la cual debe estar conectada cada vez que arrancamos el sistema), o solicitar un PIN al usuario (el PIN usa el algoritmo de hash SHA-256), o ambos (es el mecanismo más seguro, pues utiliza algo que el usuario tiene y algo que el usuario sabe). Aunque no es necesario, es recomendable agregar este segundo nivel de protección.

  3. Obtención de la llave VMK: Windows Boot Manager solicita al módulo TPM desencriptar la llave VMK. Si no contamos con un módulo TPM, la llave VMK se toma de la memoria USB.

  4. Arranque del sistema operativo: La llave VMK está ahora disponible para el cargador del sistema operativo, el cual arranca y es el momento en el que Windows utiliza la llave VMK para desencriptar la llave FVEK, que a su vez es la llave que desencripta el volumen completo. Finalmente Windows inicia normalmente con acceso a los datos desencriptados.

BitLocker Phases

En el siguiente y último post acerca de BitLocker, veremos la configuración y administración de este mecanismo de encriptación y algunas recomendaciones al momento de implementarlo.

Fuente: Windows Vista Resource Kit, 2da. Edición. Microsoft Press, 2008.